暗号化ZIP添付は危険!?メールのセキュリティを学ぶ勉強会

社内セキュリティを確保するための知見やノウハウの共有をする「第2回 社内セキュリティ共有勉強会」が21cafeで開催されました。第2回目となる今回のテーマは“メール”。その勉強会の様子をレポートします。

se170213_1

■ メールとZIPと他人の秘密

発表者:奥山歩 氏

se170213_2

暗号化したzipを添付し、その後別途パスワードだけを送る人がいます。もし誤って、違う相手にメールを誤送信しても、「パスワードを送っていなければ暗号化されているから開けないだろう」と考えてしているセキュリティ対策なのかもしれませんが、本当に安心なのでしょうか。
なんとzipの暗号化形式は、簡単に解読できてしまうそうです。データが手元を離れ、相手に渡ってしまったら、いくらパスワードをかけていたとしても、見られてしまう危険性は十分にあります。
そして奥山氏は、データの添付をやめて、クラウドを使うことを推奨していました。

資料はこちら:メールとZIPと他人の秘密

■ 社会人による衛星開発の実情と情報リスクの共有

発表者:小泉夢月 氏

se170213_3

「リーマンサットプロジェクト」という民間宇宙開発チームに所属する小泉氏は情報流出の危険性を感じており、セキュリティに詳しい参加者へ相談を投げかけていました。

主な情報流出経路は3つあります。1つ目は「人に自慢話として話してしまうこと」です。情報が一番漏れやすいのは奥さんだそうです。2つ目は「衛星通信のハッキング」です。リーマンサットプロジェクトではアマチュア無線を使っています。アマチュア無線は法律上暗号化することができないため衛星のハッキングを防止することが課題になっています。

そして3つ目は「地上サーバからのデータ流出」です。全てGoogle Driveで情報を共有しておりアクセスが簡単にできてしまうため情報の切り分けをどうしたらいいかという悩みを共有しました。

資料はこちら:社会人による衛星開発の実情と情報リスクの共有

■ 脆弱性スキャナVulsを使ってDevSecOpsを実践!

発表者:牛田隆之 氏

se170213_4

世間はセキュリティインシデントに関するニュースで溢れています。2016年に発表されたCVE-IDの数は約6,600件にものぼります。(CVEとはCommon Vulnerabilities and Exposuresの略で脆弱性情報データベースのこと)

脆弱性のデータベースの情報を起点にした運用は限界を迎えており、脆弱性チェックの自動化が必要になると述べVULnarability Scanner(Vuls)を紹介。Vulsは脆弱性の情報を収集し、対象マシンを調査し自動で可視化するツールです。

脆弱性検知は自動チェックツールを使って運用をラクにすることができます。脆弱性対策の第一歩はシステムに潜在する脆弱性を可視化することです。脆弱性検知は一回行って終わりではなく、継続的に実施することが必要です。

■ とあるインフラ屋がPOSTFIXのTLS化で困った話

発表者:hirofumi hida 氏

se170213_5

Postfixとは電子メールサーバソフトウェア(MTA)のことで、smtpdでメールを受け取りsmtpクライアントで隣のMTAにメールを転送します。TLSとは通信の暗号化(Transport Layer Security)をする技術のことです。

hirofumi hida 氏はPostfixもメールセキュリティもあまり詳しくなかったにも関わらず、隣のMTAもしくはメーラーからsmtpdサーバーまでと、smtpdクライアントから隣のsmtpdサーバーまでのTLS化作業のメイン担当としてアサインされ、多くの困難が待ち受けていました。

そして、素人だけでセキュリティ案件に関わらない方がいいこと、ソフトウェアはできるだけ最新版を使うこと、英語版だとしても実機と同一バージョンのオリジナルドキュメントを確認することが大事だということを教訓として学んだそうです。

■ メールの話 メールフィルタ強化

発表者:@greenshallot 氏

se170213_6

急遽飛び入りで登壇した@greenshallot 氏。一般的な企業では正常メールの10倍以上はスパムメールが届きます。出会い系やフィッシング、最近はランサムウェアも届きます。

特にランサムウェアは社内に入ってくると危険です。怪しいメールでも開いてしまう人もいるので、振る舞い検知(サンドボックス)フィルタを導入しメールボックスに届かないようにフィルタを強化しました。導入してみてたくさんのスパムメールを検知し、既存のフィルタがいかに弱いか実感したそうです。

資料はこちら:メールの話 メールフィルタ強化

「社内セキュリティ共有勉強会」とは

内部セキュリティの啓蒙資料・ノウハウを共有するLT方式の勉強会です。社内セキュリティについての技術・知見の共有会をコンセプトにしており、上手くいった取り組みを共有したり、危険なセキュリティ問題に関する対策を共有したりする会です。

▼公式アカウント
connpassグループ:https://intra-security.connpass.com/

▼これまでの社内セキュリティ共有勉強会のレポート
セキュリティがわからない人へ!セキュリティの重要性を“パスワード“を軸に学ぼう!

今後も随時イベント情報を更新していきます。
21cafeの勉強会などのイベント情報はこちらをチェック!

関連する記事

facebook

案件情報や最新記事をお届けします。
ぜひチェックしてみてください。